1

我的场景:

我想要几个 Windows 服务器将事件转发到收集器 A 或收集器 B 等等。

我尝试了什么:

设置 GPO:计算机设置 - 策略 - 管理模板 - Windows 组件 - 事件转发 - 配置目标订阅管理器

Server=http://Collectors.contoso.com:5985/wsman/SubscriptionManager/WEC

其中 Collectors 是集群的名称(通过 NLB 设置),其中 Collector A 和 B 是其中的成员。

问题:没有事件被转发。

事件转发实际上是如何工作的?使用网络负载平衡 (NLB) 是否可行且有用?

注意: 我使用 WinServ 2012R2 并且所有防火墙都已禁用。

我的收藏家 A 和 B 订阅:

<?xml version="1.0" encoding="UTF-8"?>
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>pull1</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description></Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Delivery Mode="Push">
        <Batching>
            <MaxLatencyTime>900000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="900000"/>
        </PushSettings>
    </Delivery>
    <Query>
        <![CDATA[
<QueryList><Query Id="0"><Select Path="Application">*</Select><Select Path="Security">*</Select><Select Path="Setup">*</Select><Select Path="System">*</Select><Select Path="ForwardedEvents">*</Select></Query></QueryList>
        ]]>
    </Query>
    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>HTTP</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <PublisherName>Microsoft-Windows-EventCollector</PublisherName>
    <AllowedSourceNonDomainComputers>
        <AllowedIssuerCAList>
        </AllowedIssuerCAList>
    </AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:BAD:P(A;;GA;;;DC)S:</AllowedSourceDomainComputers>
</Subscription>

谢谢

4

1 回答 1

1

我知道这个问题被问到已经好几年了,但是......

据我所知,没有简单的方法来负载平衡 Windows 事件转发服务。但是,如果您需要扩大规模,也有一些选择。

整个架构可以是多层的,事实上它甚至对于大公司也能很好地工作。如果您有超过几千个端点,则绝对应该为不同的客户端组构建单独的收集器。您可以根据需要对它们进行划分,例如按 AD 站点、OU、安全组或实际位置。每台服务器都可以同时充当收集器和转发器,因此您可以使用小型服务器在不同位置收集事件,并让它们将收集到的事件发送到更大的服务器。

最重要的是,每个客户端都可以与多个服务器通信。虽然它不是负载平衡,但您可以选择哪些事件去哪里。您可以将与安全相关的事件发送到一台服务器,该服务器将它们直接转发到 SIEM 并将事件审核到另一台服务器以进行长期存储。

然而,WEF 有很多缺点。没有性能和健康监控,因此您必须实施自定义措施来帮助解决这个问题。或者您可以购买类似Supercharger的东西,它提供了一些非常有用的见解以及负载平衡的基本形式。

汤姆

于 2018-06-07T12:25:45.427 回答